시스템/DNS2011. 1. 21. 18:01
일반적으로 DNS 는 UDP 53번 포트를 사용하지만
다음의 경우에는 예외적으로 TCP 를 사용하는 것으로 알려져있습니다.

1. zone-transfer 시
만약 dns 서버를 primary 만 운영하신다면 관계없겠지만
slave 와 함께 운영하신다면 zone-transfer 를 위해
tcp 53을 허용하셔야 합니다.
zone-transfer 는 많은 데이터가 통신하고, 신뢰할 수 있어야 하므로
tcp 를 사용하게 됩니다.
참고로 bind 8.x 에서는 zone-transfer 의 제한을 위해
allow-transfer {}; 를 사용하실 수 있습니다.

2. 로드가 높을때
정상적인 상황에서는 udp 를 사용하지만 시스템의 로드가 높을때
부분적으로 tcp 를 사용하는 것으로 알려져 있습니다.

3. 메시지 사이즈등 기타 상황
이외 dns 질의 데이터의 사이즈가 484 바이트를 초과할 경우에는
tcp 로 재질의하는 경우가 있습니다.

따라서 일반적인 상황에는 udp 53번만을 허용하는 것이 맞지만
실제 네트워크 문제등 여러 예외 상황이 있으므로
tcp 도 허용하시는 편이 좋을 듯 합니다.



파워콤(데이콤), 카이스트는 보안상 TCP53번 포트 막혀있음.

A레코더의경우 25개 이상인경우 512가 넘어 tcp로 재전송일어나게되므로, 파워콤(데이콤)에서는 질의가 안된다.  (KT,하나로는 열려있음.)

※ 파워콤회선에서 pcns.bora.net를 통해 www.aaa.com질의시 512가 넘으면 질의 안됨



외부로 메일을 보내기 위하여 DNS 에 다음의 3단계 쿼리를 수행한다.

1) query type=any
2) query type=mx
3) query type=a

query 의 결과값이 방대하거나 UDP 통신이 원할하지 않은 경우에는 TCP mode 로 재시도 한다.
일부 문제가 되는 사이트에서는 UDP, TCP 통신(53)이 원할하지 않아 CNAME Lookup Fail 이 떨어지면서 메일을 송신하지 못하는 경우가 발생한다.

문제 발생 예:

;; Truncated, retrying inTCP mode.
;; Connection to 100.1.110.20#53(110.1.110.20) for hanmail.net failed: host unreachable.

- 따라서 이러한 문제가 발행할 경우 방화벽등의 정책에 53번 포트에 대해서 UDP, TCP 통신이 원할하게 이루어지는지 확인 하고 막혀 있다면 해당 포트에 대해 정책을 Open 해야 한다.


결과 확인:  # telnet 164.124.101.2 53 등에 대해서 연결이 이루어지는지 확인


Posted by @dmin @dmin

댓글을 달아 주세요

시스템/DNS2010. 7. 9. 10:14

아래 에러 메세지로 볼때 Reverse DNS가 등록되어 있지 않아 차단한 것으로 추측됩니다.

450 4.7.1 Client host rejected: cannot find your hostname, [61.250.92.182]

해외로 메일을 보낼때는 아래 게시물에 나온대로 Reverse DNS를 등록해두셔야 차단될 가능성이 낮아집니다.

http://passkorea.net/support/FAQ/ViewDoc.aspx?cat=8&docNo=29293

Posted by @dmin @dmin

댓글을 달아 주세요

시스템/DNS2010. 6. 10. 00:49

사용자가 웹 브라우저에 www.rankey.com 도메인을 입력한 후 enter를 눌렀을 때 어떻게 Data가 이동될 것인가? 통상 다음과 같은 과정이 이루어진다.
 
1)     최초 자체 PC의 hosts 파일에 질의 후 없을 시
2)     사용자 PC에 세팅된 DNS로 1차 질의
3)     최상위 ROOT 네임서버 에서 하부 .com 네임서버로 이동하며 다시 www.rankey.com의 네임서버를 찾게 됨.
4)     Ns1.mediachannel.co.kr 에서 www.rankey.com에 대한 정보를 검색한 후 사용자에게 정보 전달.
 
DNS란 각 도메인에 대한 IP 주소를 매칭시켜주는 시스템으로 쉽게 사용자에게 인식되기 위해 사용되는 것이다. DNS와 관련된 파일은 주로 name.conf, resolv.conf, zone 파일을 들 수 있는데 이번 컬럼에서는 Zone 파일에 대한 규칙을 살펴보자.


Zone 파일 내에서 주석을 사용시는 “;” 표시를 사용하며 어디서 사용하든 그 뒷부분을 주석으로 이식된다. 그 설명은 다음과 같다.
 
1)     TTL(Time To Live)
가장 중요한 값 중 하나로 해당 도메인 즉 rankey.com에 대한 도메인 정보를 네임서버에 가져간 후 다시 재 질의를 던지기까지의 시간을 말한다.
서버 이전이나 빠른 적용을 원할 경우 이 값을 미리 줄여두는 것은 필수 요건이다.
2)     @
“@”는 origin domain을 말하며 rankey.com을 말한다.
또한 zone파일 내에서 전체 도메인을 쓸 경우 반드시 도메인 마지막 부분에 “.”를 붙여야 한다.
3)     Serial
Secondary name server 와의 통신에 필요한 것으로 2차 네임서버에서의 Serial 값과 비교해 1이상 클 경우 기존 zone 파일 대신 새로운 zone 파일을 가져가게 된다.
대신 해당 값은 12자리 이내로 사용해야만 하며 그 이상일 경우 오류가 발생한다.
4)     Refresh
2차 네임서버에서 1차 네임서버로 주기적 체크를 하게 되는데 필요한 주기 값
5)     Retry
2차 네임서버에서 1차 네임서버로 접속에 문제 발생 시 재 접속할 간격을 말함.
6)     Expire
2차 네임서버에서 1차 네임서버로 접속에 문제 발생 시 Expire에 지정된 시간까지만 접속을 시도하며 그 이후 삭제된 도메인으로 자체 판단.
7)     Minimum
이는 최 상단의 ttl과 같은 값으로 동일하게 세팅한다.
8)     NS record
해당 도메인 rankey.com 에 대한 네임서버를 지정하는 record로 여러 개를 등록할 수 있다.
9)     MX(Mail exchange) recored
해당 도메인의 메일 서버 설정이며 여러 개의 메일서버 설정이 가능하다.
MX 뒤의 숫자는 상대적 값으로 낮은 숫자가 우선시 된다.
10) A recored
2차 도메인 www.rankey.com과 같은 실제 도메인에 IP주소를 연결하는 record.
11) V=spf1 ip4:~~~ ~all
해당 도메인의 메일에 대한 spam 정보를 파악하는 기술로서
v=spf1 :버전
ip4 : IPv4 주소 /24와 같이 Mask를 사용하여 네트워크단위의 표현이 가능
a : DNS의 A 레코드로 설정한 IP주소
mx : DNS의 MX 레코드로 지정한 IP주소
ptr : PTR 레코드로 지정된 IP주소
include : TXT 레코드에서 설정을 찾는다.
~ all : 이것과 같지 않은 것은 알아서 하라
.
- all : 이것과 같지 않은 것은 차단하라
(Drop).
지금까지 설명한 위의 옵션을 사용하며 256byte 까지만 인식되고 그 이상의 되면 도메인 정보에 오류가 발생한다.

[출처] http://www.rankey.com/biz/special_view.php?no=279
Posted by @dmin @dmin

댓글을 달아 주세요

시스템/DNS2010. 5. 24. 10:04
http://rbls.org/
http://www.anti-abuse.org/multi-rbl-check/
Posted by @dmin @dmin
TAG cbl, RBL

댓글을 달아 주세요

시스템/DNS2010. 2. 11. 10:29

-------------------- MX 값 조회 --------------------
C:\Documents and Settings\이민우>nslookup
Default Server:  kns.kornet.net
Address:  168.126.63.1

> set ty=mx
> elentec.co.kr
Server:  kns.kornet.net
Address:  168.126.63.1

Non-authoritative answer:
elentec.co.kr   MX preference = 10, mail exchanger = mail.elentec.co.kr

elentec.co.kr   nameserver = ns2.lowhigh.net
mail.elentec.co.kr      internet address = 112.168.30.47
ns2.lowhigh.net internet address = 218.234.17.9
--------------------------------------------------------------------------------


-------------------- SPF 조회 --------------------
C:\Documents and Settings\이민우>nslookup
Default Server:  kns.kornet.net
Address:  168.126.63.1

> set ty=txt
> elentec.co.kr
Server:  kns.kornet.net
Address:  168.126.63.1

Non-authoritative answer:
elentec.co.kr   text =

        "v=spf1 ip4:112.168.30.47 ~all"

elentec.co.kr   nameserver = ns2.lowhigh.net
--------------------------------------------------------------------------------


-------------------- 리버스 조회 1 --------------------
1. 없는 경우
C:\Documents and Settings\이민우>nslookup
Default Server:  kns.kornet.net
Address:  168.126.63.1

> set ty=soa
> 47.30.168.112.in-addr.arpa
Server:  kns.kornet.net
Address:  168.126.63.1

*** kns.kornet.net can't find 47.30.168.112.in-addr.arpa: Non-existent domain


2. 있는 경우
C:\Documents and Settings\이민우>nslookup
Default Server:  kns.kornet.net
Address:  168.126.63.1

> set ty=soa
> 221.14.110.in-addr.arpa
Server:  kns.kornet.net
Address:  168.126.63.1

Non-authoritative answer:
221.14.110.in-addr.arpa
        primary name server = nsm.hananet.net
        responsible mail addr = dnsmaster.hanaro.com
        serial  = 2009062522
        refresh = 86400 (1 day)
        retry   = 3600 (1 hour)
        expire  = 3600000 (41 days 16 hours)
        default TTL = 86400 (1 day)

221.14.110.in-addr.arpa nameserver = ins1.hananet.net
221.14.110.in-addr.arpa nameserver = ins2.hananet.net
ins1.hananet.net        internet address = 210.180.98.86
ins2.hananet.net        internet address = 221.139.108.196
--------------------------------------------------------------------------------

-------------------- 리버스 조회 2 --------------------
1. 없는 경우

C:\Documents and Settings\이민우>nslookup -qa=ptr 112.168.30.47
Server:  kns.kornet.net
Address:  168.126.63.1

*** kns.kornet.net can't find 47.30.168.112.in-addr.arpa.: Non-existent domain


2. 있는 경우
C:\Documents and Settings\이민우>nslookup -qa=ptr 110.14.221.34
Server:  kns.kornet.net
Address:  168.126.63.1

Non-authoritative answer:
34.221.14.110.in-addr.arpa      name = mail.jiran.com

221.14.110.in-addr.arpa nameserver = ins2.hananet.net
221.14.110.in-addr.arpa nameserver = ins1.hananet.net
--------------------------------------------------------------------------------

-------------------- 리버스 조회 3 --------------------
C:\Documents and Settings\이민우>host 220.72.8.18
18.8.72.220.in-addr.arpa domain name pointer imssmail.samyang.com.

C:\Documents and Settings\이민우>host imssmail.samyang.com
imssmail.samyang.com has address 220.72.8.145
--------------------------------------------------------------------------------


DNS 점검사이트

1.  DNS 점검사이트

DNS전문가 카페에서 만든 사이트 :  http://www.serverchk.com/
DNS Report 유료사이트: http://www.dnsreport.com/
test 사이트  http://www.pweb.cz/en/dns-test/
NIDA
: http://dns.nida.or.kr/


1) NS확인사이트
http://www.zonecut.net/dns/
http://zonecheck.denic.de/zonecheck  ( http://www.afnic.fr/outils/zonecheck)


2)  DNS Trace ,ROOT DNS정보보기
http://www.squish.net/dnscheck/


3) 리버스점검사이트
http://dnssnoop.net/index.php


4) DNS버전 확인 유틸리티
http://www.rfc.se/fpdns/


5) 기타 점검
http://www.checkdns.net/quickcheckdomainf.aspx
http://dnscheck.iis.se/
http://www.intodns.com/


6) mx점검
http://www.mxtoolbox.com/
http://www.mxtoolbox.com/blacklists.aspx
http://pingability.com/zoneinfo.jsp
http://www.dnscheck.se/


7) 웹취약점 점검
http://cafe.naver.com/dnspro/10832

Posted by @dmin @dmin

댓글을 달아 주세요